Відео: Linux - Case esac statement (Вересень 2024)
Експерти з безпеки, виявлені у Bash, широко використовуваному інтерпретаторі команд, становлять критичний ризик для безпеки для Unix та Linux. І щоб ви не спокусилися відхилити проблему як проблему з сервером, пам’ятайте, що Mac OS X використовує Bash. Багато експертів попереджають, що це може бути гірше, ніж Heartbleed.
Уразливість присутня в більшості версій Bash, від версії 1.13 до 4.3, за словами Стефана Чазеласа, адміністратора мережі Unix і Linux та адміністратора телекомунікацій в Akamai, який вперше розкрив помилку. Команда реагування на надзвичайні ситуації в комп’ютері (CERT) Департаменту внутрішньої безпеки попередила, що, якщо їх використовувати, вразливість може давати можливість віддаленому хакеру виконувати шкідливий код у порушеній системі. База даних уразливості NIST оцінила помилку 10 з 10 за ступенем тяжкості.
"Ця вразливість потенційно є дуже великою справою", - сказав Тод Бердслі, керівник інженерії в Rapid7.
Уразливість пов'язана з тим, як Bash обробляє змінні середовища. При призначенні функції змінної також буде виконуватися будь-який додатковий код у визначенні. Таким чином, все, що зловмисник повинен зробити, - це якось додати в це визначення купу команд - класичну атаку з введенням коду - і вони зможуть віддалено захопити уражену машину. Chazelas та інші дослідники, які розглядали недолік, підтвердили, що це легко піддається експлуатації, якщо код вводиться в змінні середовища, такі як функція ForceCommand у OpenSSH sshd, модулі mod_cgi та mod_cgid на сервері Apache HTTP або скрипти, які встановлюють середовище для клієнтів DHCP.
"Велика кількість програм на Linux та інших системах UNIX використовує Bash для створення змінних навколишнього середовища, які потім використовуються під час виконання інших програм", - написав у своєму щоденнику пост Джим Рейвіс, головний виконавець Альянсу безпеки у галузі безпеки.
Неминуче порівняння із серцевим серцем
Розглянемо дві речі щодо цієї вразливості: сервери Linux / Unix широко використовуються в центрах обробки даних по всьому світу, а також на вбудованих у багатьох пристроях; вразливість присутня роками. Оскільки Bash настільки поширений, порівняння з Heartbleed, вразливість OpenSSH, виявлена ще в квітні, неминуча. Роберт Грем з Errata Security вже охарактеризував недолік ShellShock.
Але це Heartbleed 2? Це трохи важко сказати. Це, безумовно, серйозна проблема, оскільки він надає зловмисникам доступ до командної оболонки, що є золотим квитком на те, що вони можуть робити все, що хочуть, на цій машині.
Давайте подумаємо з точки зору розміру. Веб-сервери Apache живлять величезну більшість веб-сайтів у світі. Як ми дізналися під час Heartbleed, існує багато машин, що не є Linux / Unix, які використовують OpenSSH та Telnet. І DHCP допомагає нам легко переходити до мережі. Це означає, що крім комп'ютерів та серверів, можливо, інші вбудовані системи, такі як маршрутизатори, також вразливі до викрадення. Грехам Errata Security, який зробив найбільш ретельний аналіз помилки до цього часу, здійснив кілька сканувань і легко знайшов кілька тисяч вразливих серверів, але в цей момент часу важко оцінити масштаб проблеми.
Однак недолік Heartbleed був присутній лише завдяки встановленню вразливої версії OpenSSL. Цей клоп не такий простий.
"Це не так просто", як "запускати Баша", - сказав Бердслі. Для того, щоб машина була вразливою для атаки, потрібно створити додаток (наприклад, Apache), який приймає введення користувача (як заголовок User-Agent) і вкладає його в змінну середовища (що це роблять сценарії CGI), сказав він. Сучасні веб-структури, як правило, не зачіпатимуть, сказав він.
Можливо, тому Грейм сказав, що в той час як ShellShock настільки серйозний, як Heartbleed, "мало потрібно поспішати та виправляти цю помилку. Ваші основні сервери, ймовірно, не вразливі до цієї помилки".
Але перш ніж ми подумаємо про маршрутизатори та вбудовані пристрої (та Інтернет речей), майте на увазі, що не всі системи використовують Bash. Ubuntu та інші похідні системи Debian можуть використовувати інший інтерпретатор команд під назвою Dash. Вбудовані пристрої часто використовують під назвою BusyBox, який не є вразливим, заявив у Twitter Роель Шувенберг, старший науковий співробітник лабораторії Касперського.
Вразливий чи ні?
Ви можете перевірити, чи не вразливі ви, виконавши наступні команди (код, наданий CSA). Відкрийте вікно терміналу та введіть таку команду у рядок $:
env x = '() {:;}; ехо вразливий 'bash -c' ехо це тест '
Якщо ви вразливі, він надрукує:
вразливі
це перевірка
Якщо ви оновили Bash, ви побачите лише:
це перевірка
Як правило, я б сказав, що йдеш вперед і виправляти відразу, але виявляється, що наявні патчі не є повними. Є ще способи введення команд через змінні середовища навіть після виправлення Bash, сказав Red Hat сьогодні вранці. Якщо у вас є лише кілька машин, можливо, варто буде рухатися вперед і застосовувати доступні патчі, але якщо у вас є тисячі машин для виправлення, можливо, варто почекати ще кілька годин. Усі дистрибутивні версії Linux (і, сподіваємось, Apple!) Зараз працюють над виправленням.
"Пам’ятайте, навіть якщо ви ніколи раніше не чули про Bash або не запускаєте його, можливо, на вашому комп’ютері може працювати програмне забезпечення, яке породжує процеси Bash", - сказав незалежний консультант з питань безпеки Грем Клулі.
